Prof. Dr. Sachar Paulus
Fachgebiet IT-Sicherheit, speziell
- Informationssicherheit
- Sichere Softwareentwicklung
- Messbarkeit von Sicherheit
Neben meinen Lehrveranstaltungen engagiere ich mich in folgenden Themenbereichen:
- Digitalisierung in der Lehre,
- Moderne Formen der Kompetenzvermittlung von Grundlagen der Informationstechnik,
- und natürlich IT- und Informationssicherheit.
Digitalisierung in der Lehre: Das Ziel ist, die Vorteile der modernen Informationstechnologie zu nutzen, um die Lehre zeitgemäß weiter zu entwickeln. Stichworte dabei sind: Blendet Learning, Kompetenzorientierung, E-Prüfungen und E-Klausuren, Online-Vorlesungen, MOOCs u.v.m. Durch den Einsatz dieser Techniken und Technologien ist es möglich, die reine Wissensvermittlung zunehmend in den Bereich des Selbstlernens zu verlagern, und stattdessen die Präsenzzeit für werthaltigere Aktivitäten zu nutzen.
Moderne Formen der Kompetenzvermittlung von Grundlagen der Informationstechnik: Kaum noch jemand kann heute die Funktionsweise von Informationstechnologien voll durchdringen. Ein mathematisch-naturwissenschaftlicher Zugang, wie er sich in den Anfängen der Informatik als zielführend erwiesen hat, ist daher nicht mehr zielführend. Stattdessen müssen neue Methoden der Kompetenzvermittlung eingesetzt werden, die vermehrt auf empirischen Methoden basieren, auf „Trial-and-Error“, auf der Fähigkeit, sich selbst Lösungen zu organisieren und dadurch Werkzeuge, Programmiersprachen und Systeme selbst kennen zu lernen.
IT- und Informationssicherheit: IT-Sicherheit funktioniert nur, wenn das gesamte soziotechnische System unter Einbeziehung der menschlichen Akteure „funktioniert“. Verschiedene Stakeholder können unterschiedliche Ziele haben, entsprechend sind diese transparent zu machen, abzuwägen und in der Kommunikation zu vermitteln. Erst dann ist es möglich, über Awareness und Training das notwendige Bewusstsein zu schärfen und die erforderlichen Kompetenzen zu entwickeln.
In verschiedenen hochschulinternen Aktivitäten werden diese Themenbereiche verfolgt.
Zeitraum | Unternehmen, Verantwortlichkeiten und Erfolge |
2014 – heute | Hochschule Mannheim: Professor für IT-Sicherheit |
2009 – 2014 | Fachhochschule Brandenburg, Brandenburg an der Havel, Brandenburg: Professor für Wirtschaftsinformatik und Security Management |
2008 – heute | paulus.consult, Neckargemünd, Germany: Inhaber, Unternehmensberatung für Sicherheit |
2000 – 2008 | SAP AG, Walldorf, Baden-Württemberg: In folgenden Positionen tätig: Director Product Management Security, Chief Security Officer und Senior Vice President Product Security. Direkte Berichtslinie zum Vorstand der SAP AG mehr als 3 Jahre. Verantwortlichkeiten (unter anderem): Sicherheitsfunktionen in SAP Produkten, sichere Software-Entwicklung bei SAP, Konzernsicherheit, Know-How-Schutz, Krisenmanagement und Business Continuity, Krisenkommunikation zu Sicherheitsfragen, Integration Sicherheitsmanagement, Risikomanagement und Compliance in eine „GRC“ Organisation, SAP CERT Management-Erfahrung: bis zu 15 Mitarbeiter, bis zu 2 Mio € Budgetverantwortung |
1999 – 2000 | Secude GmbH, Darmstadt, Hessen: Aufbau von Sales und Produktmanagement, Consulting |
1997 – 1999 | Kobil Systems GmbH, Worms, Germany: Projektmanagement für Smartcard-Terminals. Management-Erfahrung: Prokura |
1996 – 1998 | Wissenschaftlicher Mitarbeiter am Institut für Theoretische Informatik der TU Darmstadt, Schwerpunkt: neue kryptographische Algorithmen |
1992 – 1996 | Wissenschaftlicher Mitarbeiter und Promotion am Institut für Angewandte Mathematik der Universität GH Essen, Schwerpunkt: algorithmische Zahlentheorie |
1988 – 1992 | Studium der Informatik an der Universität des Saarlandes |
Folgende Themenstellungen für hochschulinterne Abschlussarbeiten sind aus meiner Sicht aktuell interessant:
Security Patterns in der Softwareentwicklung: Bei der Entwicklung von Software werden viele Security-Fehler in der Design-Phase gemacht. Der "falsche Gedanke" dabei besteht oft darin, dass der Entwickler meint, ein Sicherheitsproblem selbst gut lösen zu können. Dabei gibt es in den allermeisten Fällen bereits bestehende Lösungen. Solche Lösungen für gängige, wiederkehrende Sicherheitsprobleme werden "Security Patterns" genannt. Die Aufgabe besteht darin, für ein gängiges Entwicklungswerkzeug (wie z.B. Eclipse) ein Plugin zu entwickeln, mit dem Entwickler bei der Verwendung von Security Patterns unterstützt werden.
Eine entsprechende Vorarbeit kann darin bestehen, die erforderlichen Voraussetzungen für die automatische Verarbeitung von Security Patterns zu modellieren.
Eine weitere Arbeit kann darin bestehen, für häufig wiederkehrende Security Patterns bestehende Lösungen in Frameworks, Programmiersprachen und Bibliotheken zu ermitteln und zu dokumentieren.
Passwort-Sicherheit: Passwörter sind unsicher: sie können gestohlen werden, erraten werden oder einfach per Brute-Force gehackt werden. Dabei gibt es Verfahren, die - theoretisch beweisbar - die Generierung von guten Passwörtern unterstützen. Die Aufgabe besteht darin, eine Webbasierte Software zu entwickeln, welche die Anwender dabei unterstützt, möglichst sichere Passwörter zu generieren - ohne besondere Anforderungen an Sonderzeichen usw. zu stellen.
SAP-Hacking: Während Betriebssysteme, Browser und Office-Dokumente regelmäßig in der Fachpresse genannt werden und dort Schwachstellen diskutiert werden, gibt es einen für Anwender sehr wichtigen Bereich, der nur selten beleuchtet wird: SAP-Systeme und -Anwendungen. Die Aufgabe besteht darin, ein SAP-Testbed aufzusetzen, in dem man aktuelle SAP-Schwachstellen ausprobieren und nachvollziehen kann.
Hier kann mit der Virtual Forge GmbH aus Heidelberg zusammengearbeitet werden.
Folgende Abschlussarbeiten habe ich bisher an der Hochschule Mannheim betreut (nach Fertigstellungsdatum):
Wintersemester 2015/2016:
Titel der Arbeit | Name Studierender | Zeitraum | Art der Arbeit |
---|---|---|---|
Optimierung des Wartungsprozesses von Internet Verkaufsportalen am Beispiel der Immobilienwirtschaft | Sebastian Hammer | WS 2015/16 | Bachelorarbeit intern |
Sommersemester 2015:
Titel der Arbeit | Name Studierender | Zeitraum | Art der Arbeit |
---|---|---|---|
Evaluierung von SAPUI5 für Web- Anwendungen auf SAP MII im industriellen Umfeld | Tillmann Krieger | SS 2015 | Bachelorarbeit zusammen mit Spiratec GmbH, Speyer |
Design und Implementierung eines Dynamic Application Security Testing Frameworks für den SAP spezifischen Kontext | Phil Kwiotek | SS 2015 | Bachelorarbeit zusammen mit Virtual Forge Gmbh, Darmstadt |
Androsploit - Sicherheitsevaluationsframework für Android Geräte | Rene Schmitt | SS 2015 | Bachelorarbeit zusammen mit Fraunhofer SIT, Darmstadt |
Privacy-Aware Threat Modeling and Architecture Design for a Building Automation System | Alexander Schramm | SS 2015 | Bachelorarbeit zusammen mit ABB, Ladenburg |
Trusted Cloud: Der Weg zu einer sicheren und vertrauenswürdigen Cloud | Martin Tänzer | SS 2015 | Bachelorarbeit intern |
Mitigating the Impact of Malicious Application Behavior through Application Segregation | Christian Titze | SS 2015 | Bachelorarbeit intern |
Entwurf eines Systems Zur Erstellung und Verwaltung von Vertrauensbeziehungen zwischen Anwendern einen Web-basierten, verschlüsselten Dokumentenablage | Arsel Kevin Tseumeugne Feutse | SS 2015 | Bachelorarbeit intern, Zweitgutachter |
An der Fachhochschule Brandenburg betreute ich etwa 25 Masterarbeiten in Security Management und über 60 Abschlussarbeiten in Wirtschaftsinformatik.